【正文】 SecKey 內部使用了運算能力強大的專用芯片，使得計算非常耗時的 RSA 運算可以在芯片的內部實現(xiàn)。 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 15移動終端子系統(tǒng)：華為 3Com 具有專用成熟的 IPSec 客戶端軟件 Quidway174。QuidView NMF框架可以打開 IPSec VPN 的全網(wǎng)拓撲圖，可以在 IPSec VPN 視圖中直觀顯示全網(wǎng)設備及設備的運行狀態(tài)。 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 11對于移動辦公用戶，采用 SecPoint VPN 客戶端軟件和 SecKey 硬件認證方式，實現(xiàn)對內部網(wǎng)絡的訪問。IPSec 工作在網(wǎng)絡層，在參加 IPSec 的設備（如路由器）之間為數(shù)據(jù)的傳輸提供保護，主要是對數(shù)據(jù)的加密和數(shù)據(jù)收發(fā)方的身份認證?；?GRE 的 VPN 技術具有如下的優(yōu)點：1. 多協(xié)議的本地網(wǎng)可以通過單一協(xié)議的骨干網(wǎng)實現(xiàn)傳輸；2. 將一些不能連續(xù)的子網(wǎng)連接起來，用于組建 VPN；3. 擴大了網(wǎng)絡的工作范圍，包括那些路由網(wǎng)關有限的協(xié)議。4. L2TP 具有較高的可靠性，可以支持備份 LNS，當一個主 LNS 不可達之后，LAC 可以重新與備份 LNS 建立連接，這樣增加了 VPN 服務的可靠性和容錯性。VPN 作為私有專網(wǎng)，一方面與底層承載網(wǎng)絡之間保持資源獨立性，即在一般情況下，VPN 資源不會被承載網(wǎng)絡中的其它 VPN 或非該 VPN 用戶的網(wǎng)絡成員所使用；另一方面，VPN 提供足夠安全性，確保 VPN 內部信息不受外部的侵擾。 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 4二、網(wǎng)絡構建可行模式分析構建上面我們描述數(shù)據(jù)通信模式的網(wǎng)絡結構一種可行的方案是專線網(wǎng)絡連接的備份鏈路方式，其基本方式是進行每個層次之間的專線方式的網(wǎng)絡連接即可，通過這種方式可以實現(xiàn)的星形結構的全局網(wǎng)絡連接，全面滿足我們在前面描述的數(shù)據(jù)流動模式的需求，但是這種方式存在非常大的缺點：專線方式的網(wǎng)絡連接需要支付高昂的專線租用費用；另外一種方式是通過撥號的方式，通過利用 PSTN/ISDN 的模擬電話線路，移動用戶主機配置的調制解調器，采用撥號的方式，登錄到總公司內部的撥號服務器，實現(xiàn)遠程對公司內部資源的訪問。在遠端用戶、分支機構、合作伙伴與公司總部之間建立可靠的安全連接，保證數(shù)據(jù)傳輸?shù)陌踩?。認證和加密受到限制，沒有強加密和認證支持。AH 認證整個 IP 頭，不過由于 AH 不能加密數(shù)據(jù)包所加載的內容，因而它不保證任何的機密性。因此，它的實現(xiàn)是一種與接入網(wǎng)絡無關的 VPN 技術。Quidway174。如果設 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 14備的 IP 地址不固定，就增加了主動管理的難度；如果設備位于 NAT 網(wǎng)關后面，基本上沒有什么有效的管理手段。SecPoint VPN 客戶端軟件支持與 Quidway174。Q　　1. IPSecVPN 網(wǎng)關的部署位置，比如是否能夠放置在 DMZ、內網(wǎng)？貴公司推薦的最佳部署位置在哪里？　　2. 集團公司總部內網(wǎng)是雙核心作負載均衡和冗余，VPN 網(wǎng)關將采用兩臺設備作負載均衡和冗余，如何部署？　　3. 各個成員企業(yè)內網(wǎng)有的是雙核心作負載均衡，有的是單核心，但我們都只為其配置一臺 VPN 網(wǎng)關，如何部署？提出具體的方案，并推薦必要的相關設備，比如交換機等。 SecKey 產(chǎn)品，可以為 SecPoint 用戶提供身份認證信息的安全存儲、基于硬件的雙因素用戶認證、客戶端配置“即插即用”以及 license 管理等功能。同時，為了保證通訊安全，BIMS 對傳輸?shù)南?shù)據(jù)進行加密處理。并提供缺省配置，以使用戶初次使用本管理軟件時，能快速配置 IPSec VPN 設備，而無需進行過多配置及軟件使用學習。L2TP 二層隧道技術對于遠程接入的用戶認證可以提供很好的保證，一旦用戶認證通過就無法對傳輸數(shù)據(jù)的安全性保證了。驗證及加密的算法：認證算法，HMACMDHMACSHA1；加密算法，DES、3DES。 GRE 只提供了數(shù)據(jù)包的封裝，并沒有加密功能來防止網(wǎng)絡偵聽和攻擊，所以在實際環(huán)境中無法給用戶提供更好的安全性。L2TP VPN 技術： 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 6L2TP VPN 技術將整個 PPP 幀封裝在二層隧道中進行數(shù)據(jù)傳輸，屬于二層隧道技術。VPN（Virtual Private Network，虛擬私有網(wǎng)）是近年來隨著 Inter 的廣泛應用而迅速發(fā)展起來的一種新技術，實現(xiàn)在公用網(wǎng)絡上構建私人專用網(wǎng)絡。 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 5三、VPN 相關技術背景介紹伴隨企業(yè)和公司的不斷擴張，公司分支機構及客戶群分布日益分散，合作伙伴日益增多，越來越多的現(xiàn)代企業(yè)迫切需要利用公共 Inter 資源來進行促銷、銷售、售后服務、培訓、合作及其它咨詢活動，這為 VPN 的應用奠定了廣闊市場。支持駐外 VPN 用戶在任何時間、任何地點的移動接入，這將滿足不斷增長的移動業(yè)務需求。通過 GRE，用戶可以利用公共 IP 網(wǎng)絡連接 IPX 網(wǎng)絡、AppleTalk 網(wǎng)絡，還可以使用保留地址進行網(wǎng)絡互連，或者對公網(wǎng)隱藏企業(yè)網(wǎng)的 IP 地址。密鑰管理協(xié)議：Inter Key Exchange （IKE）協(xié)議，實現(xiàn)安全協(xié)議的自動安全參數(shù)協(xié)商，可協(xié)商的安全參數(shù)包括數(shù)據(jù)加密及鑒別算法、加密及鑒別的密鑰、通信的保護模式、密鑰的生存周期等，這些安全參數(shù)的總體稱之為安全聯(lián)盟（SA）。從安全性的角度看，由于 L2TP 一般終止在用戶側設備上，對用戶網(wǎng)的安全及防火墻技術提出十分嚴峻的挑戰(zhàn)；而 IPsec 技術一般終止在網(wǎng)關上，因此不會對用戶網(wǎng)的安全構成威脅。在配置業(yè)務中，提供預定義配置參數(shù)功能，以方便高級用戶預定義、重用配置信息。BIMS 網(wǎng)管側與設備側之間通過HTTP 協(xié)議進行通訊，采用 HTTP 進行通信的優(yōu)勢在于其可方便的穿透防火墻，而且協(xié)議簡單、易擴展。 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 16華為 3Com 公司堅持以客戶需求為導向，新推出的基于智能卡安全技術的 Quidway174?！　?. 是否支持集中式管理？集中管理平臺的報價？　　5. VPN 軟客戶端的報價，要求全網(wǎng)支持 1000 個 VPN 軟客戶端，可以在全網(wǎng)任意使用，即 VPN 軟客戶端可以和全網(wǎng)內的任意一個 VPN 網(wǎng)關進行連接，不能針對每個 VPN網(wǎng)關作 License 限制。 SecKey 認證方式結合，通過 USB Key 的方式存儲用戶的密鑰或數(shù)字證書、SecPoint VPN 客戶端配置信息等，加強身份認證的安全強度，減少 SecPo